基于聚类的网络异常检测

探索一种基于聚类来识别异常的方法,这个方法不需要手动标示的训练数据集却可以探测到很多不同类型的入侵行为.实验结果表明该方法是可行的和有效的,使用它来进行异常检测可以得到探测率和误报率的一个平衡,从而为异常检测问题提供一个较好的解决办法.     

基于HMM的通信流量异常检测

选用HMM在原模型的基础上针对算法下溢、概率转移矩阵过大、计算结果P(O|Ψ)值过小等问题分别进行优化.使用优化后的HMM对训练集进行训练,并根据训练结果,调整部分参数使模型正确率得到提高.实验结果证明HMM在通信流量时间序列异常检测方面效果更好.HMM作为异常检测的基本算法,因其不需要针对每种类型的异常点分别进行优化,从而降低了复杂度,且对未知异常值也有一定的检测能力.     

基于卫星图像时间序列连续异常检测方法优缺点

本文作者依据多年工作经验,对卫星图像时间序列连续异常检测方法优缺点进行了研究分析,以便和同行切磋与交流。     

一种基于光流法的逆行异常事件检测方法

机场大厅、公路等公共场合,经常需要行人或车辆单向运动,以保障开放环境的安全性及秩序性.对监控视频中的逆行异常事件进行检测,便于管理人员及时对可疑事件做出处理.提出了一种逆行异常事件的检测算法,它基于图像中特征点的光流场以及空间分布特性对特征点进行聚类,然后通过计算符合逆行条件的特征点数量实现对逆行异常事件的检测.理论分...     

基于进程行为的异常检测模型

利用系统漏洞实施攻击是目前计算机安全面临的主要威胁.本文提出了一种基于进程行为的异常检测模型.该模型引入了基于向量空间的相似度计算算法和反向进程频率等概念,区分了不同系统调用对定义正常行为的不同作用,提高了正常行为定义的准确性;该模型的检测算法针对入侵造成异常的局部性特点,采用了局部分析算法,降低了误报率.     

一种基于符号化的时间序列预测方法

本文提出一种基于符号化方法对时间序列进行预测。该方法利用矢量拟合来表达时间序列走势的形态，采用聚类算法对形态进行聚类，根据聚类结果得到符号序列，并用不完全抽取方法来抽取序列模式。预测时，根据学习得到的模式集对新序列做出预测分析。对导航位置误差数据实验表明，该方法可以对时间序列进行较好预测。     

基于隐含模式的异常检测算法

如何检测系统中的临界变化,一直是一个难题。该文提供了一种新的基于隐含模式的异常检测算法。机是一种新的计算力学理论,它能从时间序列中发掘系统的隐含模式。因果态分割重建算法(CSSR)是目前重构机的最成熟算法,它可以推理出一个因果态集合,所有的因果态构成一个隐马尔可夫模型。在因果态集合的基础上,建立一个表达系统特征的向量,不同向量间的距离可以定义成系统异常的测度。把时间序列分段,分别计算每部分的异常度,就可以得到系统的异常演变曲线。在Duffing振子的例子中,该算法不仅有效检测,还提前预测到系统分叉的发生,说明该算法具有很好的应用潜力。     

基于熵权聚类网络异常行为的检测方法研究

为了提高传统异常检测技术对尺度异常行为的检测能力,提出了一种基于统计量的聚类模型识别方法,将数据集中的每个数据与模型识别聚类中心的欧几里得距离进行比较,从而识别是否存在数据异常。不打破传统异常检测技术处理隔离机制,保证了规模异常行为的识别,解决了传统异常检测方法假设异常数据进行隔离的局限性。为了提高聚类精度,采用熵值法校正欧氏距离对数据属性进行加权,优化了最近邻聚类算法的相似性,并进行仿真。实验结果表明,统计方法和改进的聚类方法具有更高的聚类效率和自适应性。     

基于模糊序列电网异常检测建模方法与研究

采用序列模式挖掘算法构建电网异常检测模型,能够更好地表现电网异常行为。基于此进行了电网异常检测建模方法的研究,并提出了一个基于模糊序列模式的电网异常检测模型。通过理论分析和仿真实验证明,提出的模型不仅具有检测异常行为的实际能力,而且检测效率和检测性能都得到了很大的提高。     

基于机器学习的网络异常流量检测方法

研究一种基于机器学习的网络异常流量检测方法。使用改进型ANFIS算法作为建立的网络异常流量检测方法的核心算法。由于传统的神经网络算法使用的梯度下降算法在实际应用时,存在易陷入局部极小值,训练效率低下等问题,因此研究的改进型ANFIS算法使用附加动量算法修正模型参数,使系统能够越过误差曲面的局部最小值。最后使用KDD CUP99数据库以及LBNL实验室测试的数据对改进型ANFIS算法和BP神经网络算法的检测方法进行性能测试。结果表明,使用改进型ANFIS算法检测系统的训练效率以及检测准确率均优于使用BP神经网络算法建立的模型。     

基于光度数据的多域光网络异常信息检测方法研究

当前大部分异常信息检测方法均存在依赖异常信息特征,从被检测目标发现攻击行为的弊端,不适于多域光网络异常信息检测,为此,提出一种基于光度数据的多域光网络异常信息检测方法.设计了光度数据采集平台结构,通过单片双通道高速流水线式A/D转换器完成对光度数据的实时采集.针对采集的光度数据,利用时间间隔步隆过滤器,通过二维步隆过滤...     

基于改进CURE聚类算法的无监督异常检测方法

提出了一种基于改进的CURE聚类算法的无监督异常检测方法.在保证原有CURE聚类算法性能不变的条件下,通过对其进行合理的改进获得更加理想的簇,也为建立正常行为模型提供了更加纯净的正常行为数据.在建模过程中,提出了一种新的基于超矩形的正常行为建模算法,该算法有助于迅速、准确地检测出入侵行为.实验采用KDDcup99数据,实验结果表明该方法能够有效地检测网络数据中的已知和未知入侵行为.     

Multi-step attack detection method based on network communication anomaly recognition

In view of the characteristics of internal fixed business logic,inbound and outbound network access behavior,two classes and four kinds of abnormal behaviors were defined firstly,and then a multi-step attack detection method was proposed based on network communication anomaly recognition.For abnormal sub-graphs and abnormal communication edges detection,graph-based anomaly analysis and wavelet analysis method were respectively proposed to identify abnormal behaviors in network communication,and detect multi-step attacks through anomaly correlation analysis.Experiments are carried out on the DARPA 2000 data set and LANL data set to verify the results.The experimental results show that the proposed method can effectively detect and reconstruct multi-step attack scenarios.The proposed method can effectively monitor multi-step attacks including unknown feature types.It provides a feasible idea for detecting complex multi-step attack patterns such as APT.And the network communication graph greatly reduces the data size,it is suitable for large-scale enterprise network environments.     

基于频繁模式的KPI异常检测研究

文章针对TD-SCDMA现网采集的网络关键绩效指标(Key Performance Indicator,KPI),,利用频繁模式挖掘的方法,重点分析掉话率、无线接通率、拥塞率等之间的关联性。将频繁模式项定义为正常模式,以此进行异常模式检测。这样的方式不仅有效地检测了网络存在的异常组合,也反映了参数之间的关联性,对快速在线检测起到了有效的指导作用。     

基于GA改进BP神经网络网络异常检测方法

考虑到常规BP神经网络算法容易陷入局部最优解,所建立的网络遗传流量检测模型检测效率低,准确率不高等问题,提出一种改进型GA优化BP神经网络算法,并使用其建立网络遗传流量检测模型。常规遗传算法在搜索过程中,往往会由于出现影响生产适应度高的个体而对遗传算法搜索过程产生影响的现象发生,因此需要对常规遗传算法进行改进。使用的方法是通过混合编码方式进行改进,同时对交叉算子、变异算子、交叉概率以及变异概率等参数进行优化修正。使用KDD CUP99数据库中的网络异常流量数据进行实验研究,研究结果表明,所提出方法的检测性能要明显优于常规算法,其对BP神经网络的结构、权值以及阈值进行同步优化,避免了盲目选择BP神经网络结构参数带来的问题,避免了常规BP神经网络容易陷入局部最优解的问题。     

基于深度自编码-高斯混合模型的视频异常检测方法

由于异常定义的模糊性和真实数据的复杂性,视频异常检测是智能视频监控中最具挑战性的问题之一。基于自动编码器(AE)的帧重建（当前或未来帧）是一种流行的视频异常检测方法。使用在正常数据上训练的模型,异常场景的重建误差通常比正常场景的重建误差大得多。但是,这类方法忽略了正常数据本身的内部结构,效率较低。基于此,提出了一种深度自动编码高斯混合模型(DAGMM)。首先利用深度自动编码器获得输入视频片段的生成低维表示和重构误差,并将其进一步输入高斯混合模型(GMM)。而估计网络则通过高斯混合模型预测能量概率,然后通过能量密度概率判断异常。DAGMM以端到端的方式同时联合优化深度自动编码器和GMM的参数,能够平衡自动编码重建、低维表示的密度估计和正则化,泛化能力强。在两个公共基准数据集上的实验结果表明,DAGMM达到了现有最高技术发展水平,在UCSD Ped2和ShanghaiTech两个数据集上分别取得了95.7%和72.9%的帧级AUC。     

基于单分类支持向量机和主动学习的网络异常检测研究

对基于支持向量机和主动学习的异常检测方法进行了研究,首先利用原始数据采用无监督方式建立单分类支持向量机模型,然后结合主动学习找出对提高异常检测性能最有价值的样本进行人工标记,利用标记数据和无标记数据以半监督方式对基于单分类支持向量机的异常检测模型进行扩展。实验结果表明,所提方法能够利用少量标记数据获取性能提升,并能够通过主动学习减小人工标记代价,更适用于实际网络环境。     

基于事件字典的行人异常事件检测

近年来极端行为和暴恐行为严重威胁着公共安全,行人异常事件检测已成为研究的热点问题.为了克服传统方法中对异常事件定义的模糊性、对行人异常行为特征的描述不够准确的缺点,提出一种基于事件字典的行人异常事件检测方法.本文方法的创新之处是构造了一种行人特征描述子,能够有效描述行人的身体各部分的变化规律,利用行人特征描述子提取样本的特征进行聚类分析,构建事件字典,预测事件的类别.在标准数据集BEHAVE Interactions Test Case Scenarios、UMN、UCSD上与LDA(Latent Dirichlet Allocation,潜在狄利克雷分布)和双稀疏字典的对比实验表明,该方法对于异常行为的检测准确有较高的检测准确率.     

基于U-Net的两阶段SPECT骨显像降噪方法研究

进行单光子发射计算机断层成像(single-photon emission computed tomography, SPECT)骨显像检查时,为减少给病人带来的辐射伤害,医师常会减轻辐射剂量,导致骨显像信噪比、分辨率较低,严重影响诊断以及病灶自动检测效果。为提升骨显像质量,提出了一种基于U-Net的两阶段SPECT骨显像降噪方法。首先,设计了一种U-Net噪声估计网络来快速估计每张骨显像的噪声水平,为主干降噪网络提供噪声先验知识。其次,主干降噪网络同样以U-Net为基础框架,同时结合多尺度特征融合、通道-空间注意力机制结构来增强网络的噪声特征提取能力,预测出噪声图。最后,通过残差学习得到降噪骨显像。同时,为解决使用均方误差(mean square error,MSE)损失函数的重建图像过于平滑的问题,设计了一种复合损失函数,保留骨显像的原有细节信息。实验中,向训练集中的骨显像施加不同噪声水平进行数据扩充,并且采用迁移策略解决模型过拟合问题。结果表明,与目前主流算法相比,所提出的降噪方法能够有效降低骨显像噪声,并且保留病灶细节特征。此外,通过盲降噪能够改善原骨显像质量、提升病灶自动分割...